La ciberseguridad, un riesgo sistémico importante

Este artículo se nutre de un informe del Instituto de Auditores Internos de España, denominado “Ciberseguridad, un riesgo sistémico a evitar”, que aporta claves y pautas para que, correctamente supervisado y gestionado, el riesgo se convierta en una ventaja competitiva. La pregunta ya no es si habrá o no ataques, sino cuándo. Hay que estar preparado y en este artículo se aportan algunas pautas esenciales para estarlo.

Factores que articulan la responsabilidad del Consejo

En el actual clima laboral, con una creciente preponderancia del trabajo híbrido y en remoto, las empresas cada vez operan más en Internet y a través de los documentos que almacenan en la nube, con lo que se incrementa también el riesgo sistémico que comporta la ciberseguridad, en una dinámica en la que los ciberdelincuentes emplean estrategias cada vez más sofisticadas.

Pautas para vertebrar la ciberseguridad y prevenir los riesgos sistémicos

En este contexto, reguladores y supervisores piden a las empresas que estén preparadas para afrontar los ciberataques y la respuesta que estos requieren en materia de ciberseguridad. Aquí van algunas medidas centrales de prevención.

1. Atribuir la responsabilidad (y exigiendo conocimientos técnicos) al organismo con más alta responsabilidad en la determinación del rumbo de la compañía: el Consejo de Administración y sus comisiones de apoyo.
2. Imposición de sanciones por inclumplimiento de severas regulaciones. En esa dirección, el RGDP es un buen ejemplo, ya que se está aplicando con estándares muy exigentes y cuidadosos en el ámbito de la UE.
3. Exigier planes de continuidad de negocio y, en el caso del sector financiero, desarrollando test de estrés a bancos, plataformas de negociación y sistemas de liquidación y compensación de pagos.
4. Aumentar el perímetro de control a la cadena de suministro y cualquier otra relación con proveedores o terceros. Se trata de un punto vulnerable bastante habitual, por el que se han colado bastantes ciberataques.
5. Conformar un modelo de gobierno corporativo de la ciberseguridad, así como supervisiones más frecuentes y mejor afinadas.

La función del Consejo en la prevención, mitigación y gestión de los ciberataques

La Comisión de Auditoría, al igual que Auditoría Interna, juegan un papel muy relevante para supervisar este riesgo sistémico y asegurarse de que la organización promueve una adecuada cultura de ciberseguridad, que pasa por la formación y concienciación de la plantilla. Según el informe IBM Security, Cost of a Data Breach Report 2021, el 52% de las brechas de ciberseguridad y riesgo sistémico son ataques maliciosos, el 25% se refiere a fallos del sistema y el 23% se corresponde con errores humanos.

De qué manera la Comisión de Auditoría vela por una cultura de ciberseguridad

La Comisión de Auditoría debe asegurarse de que se promueve una adecuada cultura de ciberseguridad, que minimice los riesgos sistémicos. Los consejeros no necesitan ser ingenieros informáticos, pero deben conocer y comprender el riesgo de ciberseguridad. Algunas compañías están designando a un experto responsable de ciberseguridad dentro del Consejo. Ese es un debate crucial en estos momentos, si se apuesta esa función será indicador de que se concede a la ciberseguridad y el riesgo sistémico la importancia que realmente comportan. Otras están creando una comisión específica de ciberseguridad: aunque este segmento apenas representa el 10% en el ámbito corporativo internacional, Gartner (empresa consultora y de investigación de las tecnologías de la información) cree que el 40% de las empresas tendrá una comisión especializada en ciberseguridad y riesgo sistémico para 2025.

El informe de los Auditores Internos de España ordena en orden descendente la escala de prioridades respecto a lo que se informa en el ámbito de ciberseguridad: de las vulnerabilidades, un 91%_; de las tendencias, en un 88%, y de las métricas, en un 78%. Respecto a la frecuencia con la que se informa sobre ciberseguridad y riesgo sistémico, un 46% indica que anualmente; el 17% que esa información se reporta de manera variable, el 15% señala que nunca se habla de esas cuestiones en su Consejo y solo un 5% relata que se abordan esos temas en cada reunión del Consejo.

Seis claves para guiar la estrategia de ciber-prevención de los consejeros

A continuación, recogemos un resumen de los seis principios para convertirse en una organización ciber-resiliente, extraídos de un informe reciente elaborado en el World Economic Forum (WEF), confeccionados por la National Association of Corporate Directors (NACD) y Internet Security Alliance (ISA).

1. No quitarse nunca las ‘lentes de ciberseguridad’. La ciberseguridad es clave en la estrategia y en la agenda del Consejo. Requiere de liderazgo comprometido y un desarrollo permanente de una cultura de ciberseguridad y anticipación de riesgos sistémicos. La idea es contemplarlo todo desde la perspectiva de “las lentes de ciberseguridad”, un criterio preventivo que se aplica a la innovación, transformación digital, estrategia comercial, fusiones y adquisiciones, desarrollo de productos…
2. Indicadores y marco de gobierno. Hay que medir el riesgo de ciberseguridad que representan los objetivos estratégicos, regulatorios, legales y comerciales. Se trata de determinar y revisar los ciber-escenarios, indicadores (KPIs) y un marco de gobierno confiable, con modelos sólidos de cuantificación.
3. Perfil de seguridad alineado a las necesidades del negocio. Un buen gobierno requiere armonizar la gestión de la ciberseguridad y los objetivos de negocio. Hay que analizar el riesgo ciber de toda decisión: nuevo producto, una app…
4. Security by Design o, desde el momento cero. La seguridad forma parte del proceso de desarrollo de una empresa: se contempla desde el principio, cuando se comienza a concebir el producto. Hay que revisar la estructura organizativa para garantizar que la función de ciberseguridad y riesgo sistémico está presente en toda la empresa: grupos, áreas y líderes.
5. Conocimiento y experiencia. Los consejeros deben asegurarse directa o indirectamente -con la colaboración de la Alta Dirección, Auditoría Interna y expertos externos- de disponer del conocimiento actualizado y necesario para supervisar apropiadamente este complejo y técnico riesgo. Además de hacer auditorías periódicas, conviene repasar tendencias, vulnerabilidades y ciber-incidentes reseñables.
6. Colaboración para incrementar la ciber-resiliencia. El riesgo de ciberseguridad circula veloz en un mundo interconectado. Gestionarlo con acierto requiere elevadas dosis de colaboración interna y externa. Interna, entre los diferentes departamentos empresariales, incluyendo proveedores. Y externa, con el propio sector y otros sectores, valorando también la colaboración público-privada.

Preguntas esenciales de que un auditor debe hacerse para fortalecer la ciberseguridad y prevenir el ciber-riesgo

Éstas son las cuestiones clave que, desde la perspectiva del Auditor Interno, deben formularse para asegurar una priorización adecuada del riesgo de ciberseguridad.

1. ¿Se han reforzado con la pandemia la formación y concienciación del personal?
2. ¿Se cuenta con los recursos necesarios para la monitorización, vigilancia y gestión preventiva de la ciberseguridad?
3. ¿Se dispone de procedimientos y protocolos de gestión, respuesta y recuperación ante incidentes de seguridad? ¿Se han hecho simulacros?
4. ¿Se desarrollan periódicamente ejercicios de intrusión (hacking ético) en los sistemas?
5. ¿Se realizan controles de ciberseguridad a los proveedores externos antes y durante la relación comercial?
6. ¿Hay una cultura de ciberseguridad adecuada y se fomenta la colaboración entre ciberseguridad y las áreas relacionadas como compliance, privacidad, etc.?

Cómo Diligent potencia su ciberseguridad y prevención de riesgos sistémicos

A la luz de lo analizado en este artículo, resulta vital contar con un software que garantice su ciberseguridad. En esa línea, Diligent ofrece programas que aplican de manera consistente las sugerencias de la Estrategia Nacional de Ciberseguridad en España, ya que garantizan autentificación de doble factor, tests de penetración regulares, instrumentos seguros en la nube, restricción de acceso y, además, un servicio de formación a los diversos usuarios de la herramienta, un factor esencial para eludir que los usuarios acaben por emplear instrumentos que comprometen la seguridad de los documentos, como por ejemplo el correo electrónico o el whatsapp.

La estrategia de ciberseguridad es una responsabilidad del Consejo, por ello debe garantizar que lidera con el ejemplo y que los órganos de gobierno se comunican y comparten información con soluciones seguras. Solicite una demostración personalizada de nuestras herramientas de gobierno corporativo.